網(wǎng)御防火墻常用命令

systemshow查看防火墻版本信息可以看到防火墻名，硬件型號，軟件版本以及序列號。admhostshow查看管理主機(jī)admhostaddipx.x.x.x添加管理主機(jī)admhostdelipx.x.x.x刪除管理主機(jī)當(dāng)前第1頁\共有28頁\編于星期日\12點admmodeshow查看管理方式顯示管理方式WEB/串口SSH/PPPadmmodeonsshInterfaceshowall查看防火墻的接口信息，包括接口數(shù)量，ip地址，子網(wǎng)掩碼，開啟狀態(tài)主要查看接口配置是否正常，配合周邊設(shè)備查看網(wǎng)絡(luò)是否通與不通。當(dāng)前第2頁\共有28頁\編于星期日\12點InterfaceshowiffeX(X代表接口序號，例如fe1,fe2,fe3等)可以捕獲防火墻的MAC地址，接口類型，鏈路模式，協(xié)商速度最大傳輸單元，等等一些接口詳細(xì)信息。最主要的是看看trunk，ip/mac等參數(shù)是不是誤開，接口是不是允許ping等。當(dāng)前第3頁\共有28頁\編于星期日\12點使用ifconfig命令配置并查看網(wǎng)絡(luò)接口情況示例1:配置eth0的IP，同時激活設(shè)備:

#ifconfigeth0192.168.4.1netmask255.255.255.0up示例2:配置eth0別名設(shè)備eth0:1的IP

示例3:激活（禁用）設(shè)備

#ifconfigeth0:1up(down)示例4:查看所有（指定）網(wǎng)絡(luò)接口配置

#ifconfig(eth0)備注：如果要對接口添加允許管理允許ping等相關(guān)參數(shù)的時候，則要使用防火墻自身的命令interfacesetphyiffe0ip10.1.5.254netmask255.255.255.0activeonadminonpingontracerouteon當(dāng)前第4頁\共有28頁\編于星期日\12點當(dāng)前第5頁\共有28頁\編于星期日\12點RXpackets接受數(shù)據(jù)包的數(shù)量收包丟棄量大TXpackets發(fā)送數(shù)據(jù)包的數(shù)量errors錯誤包的數(shù)量硬件信號錯誤dropped丟棄的數(shù)據(jù)包數(shù)量如果有丟棄的數(shù)據(jù)包說明流量大或者驅(qū)動有問題overruns數(shù)據(jù)包溢出的數(shù)量frame幀錯誤carrier載波collision沖突長連接，慎用。作用是將連接的時間變短或者變長不能加any到any的長連接具體協(xié)議，服務(wù)不能使ANY不然出問題。當(dāng)前第6頁\共有28頁\編于星期日\12點ethtoolethX查看網(wǎng)口協(xié)商情況從上圖我們可以看出網(wǎng)口協(xié)商為100M全雙工。由于很多設(shè)備都設(shè)置為自適應(yīng)，這樣兩個設(shè)備協(xié)商后速率和雙工模式自動協(xié)商后到底是什么從防火墻界面是看不出來的，所以就需要我們用ethtool命令查看，關(guān)于網(wǎng)口不通的情況，很多時候使用ethtool排錯是非常有用的。當(dāng)前第7頁\共有28頁\編于星期日\12點acscon和acscshowtop開啟連接管理功能查看top10的連接以上命令主要是讓工程師在不打開頁面的情況下可以更好的分析那個主機(jī)IP大量進(jìn)行連接。configreset是恢復(fù)出廠設(shè)置configsave是保存配置這些命令大家可能都知道，我在這里重復(fù)只是希望大家真正熟練掌握，并在現(xiàn)場第一時間使用當(dāng)前第8頁\共有28頁\編于星期日\12點iprouteshow

顯示路由表信息，對于大型網(wǎng)絡(luò)和復(fù)雜網(wǎng)絡(luò)，路由表是非常重要的。排錯的時候40%的路由表的問題，20%的故障是跟路由表相關(guān)的其他功能的問題。所以路由表是非常重要的。當(dāng)前第9頁\共有28頁\編于星期日\12點HAshowconfigHAshowstatus可以查看HA配置和HA的協(xié)商情況以及目前的主備狀態(tài)

當(dāng)前第10頁\共有28頁\編于星期日\12點W（輸入命令w）非常簡單的命令，但是很有用，應(yīng)該說非常有用。這個命令紀(jì)錄了防火墻自正常啟動以來，累計時長，可以清楚的知道防火墻運(yùn)行了多長時間。也可以知道防火墻是否出現(xiàn)頻繁重啟的問題。Loadaverage后面的三組數(shù)字可以看出防火墻在使用資源（cpu，內(nèi)存，磁盤）的情況。這個數(shù)字大于1的時候，說明內(nèi)核已經(jīng)超負(fù)荷運(yùn)轉(zhuǎn)。當(dāng)前第11頁\共有28頁\編于星期日\12點free查看內(nèi)存使用情況

這個命令可以清楚的知道設(shè)備的總共內(nèi)存多大，使用多少，空閑多少配合其他命令就可以整體把握設(shè)備的運(yùn)行情況，當(dāng)前第12頁\共有28頁\編于星期日\12點查看防火墻磁盤大小的一系列操作首先，先運(yùn)行mnt.boot/mnt，然后cd/mnt，再df查看各分區(qū)大小。磁盤使用率顯示的是/mnt資源占用的大小。由圖我們可以看出這個防火墻的磁盤大小為132M。（一般磁盤32M,64M,128M等）查看完以后千萬千萬不要忘記退出/mnt目錄，然后umont/mnt。當(dāng)前第13頁\共有28頁\編于星期日\12點ps–aux查看防火墻進(jìn)程當(dāng)前第14頁\共有28頁\編于星期日\12點top命令是以上所有命令的集合，使用top命令可以很直觀的查詢到很多防火墻的基本信息，但是由于top命令啟用以后占用防火墻資源比較大，如果你的設(shè)備在網(wǎng)絡(luò)中處于超負(fù)荷運(yùn)轉(zhuǎn)的時候，這個命令則需要謹(jǐn)慎使用?？梢燥@示w命令的內(nèi)容可以顯示free命令的內(nèi)容可以顯示cpu實時的使用率大小可以顯示所有進(jìn)程，并且可以顯示進(jìn)程使用cpu，內(nèi)存的大小，并實時動態(tài)變化。我們經(jīng)常可以看到cli進(jìn)程占用CPU100%，pluto進(jìn)程占用CPU大，或者syslogd進(jìn)程占用CPU大等等。這就說明防火墻的某個模塊使用率特別大，要注意優(yōu)化。當(dāng)前第15頁\共有28頁\編于星期日\12點當(dāng)前第16頁\共有28頁\編于星期日\12點cpu100%問題1.用psaux問題查看具體是哪一個進(jìn)程導(dǎo)致cpu利用率高

Cli進(jìn)程問題killallcli殺掉所有cli進(jìn)程

再打上patch207-解決Cli命令導(dǎo)致cpu利用率百分之百升級包(3.4.X.X)severadd進(jìn)程問題

添加資源定義時報錯導(dǎo)致cpu100%,直接kill+進(jìn)程id殺掉進(jìn)程即可可打Patch193-解決資源定義報錯顯示亂碼和操作資源定義模塊時CPU占用率為100%問題升級包版本)2.遇到其他占用cpu利用率高蛤不常見的進(jìn)程,可反到客服中心當(dāng)前第17頁\共有28頁\編于星期日\12點filterconfigstatecount查看防火墻的并發(fā)連接數(shù)filterconfigstateremove清除防火墻上的連接（所有連接包括你的web連接和SSH連接）filterconfigstatelist查看防火墻的連接表(建議與grep參數(shù)配合使用)eg:filterconfigstatelist

當(dāng)前第18頁\共有28頁\編于星期日\12點lsmod查看防火墻模塊的命令，主要用于查看防火墻模塊是否存在，有時候模塊沒有起來，倒是防火墻功能不可用。如果語音，視頻不能通過防火墻，則需要去移除關(guān)于sip，h.323，h.323gk等相關(guān)模塊

防火墻上root權(quán)限登錄后，輸入lsmod，查看到關(guān)于sip的報錯信息如下：file:osip_message_parse.c,line:850--->Couldnotparsestartlineofmessage.當(dāng)前第19頁\共有28頁\編于星期日\12點（含）以下版本防火墻語音傳輸不通或者有時通，有時不通或者日志中有大量關(guān)于sip、h323的報錯信息時，可以用如下命令，徹底刪除sip和h323模塊。但是卸載以上模塊會犧牲掉ha模塊，以后將無法使用雙機(jī)功能。themis>mvip_conntrack_sip_module.o

themis>backpkgmodules當(dāng)前第20頁\共有28頁\編于星期日\12點VPN命令匯總查看建立的ipsec隧道及路由

：ipseceroute查看VPN狀態(tài)信息，用于VPN排錯：ipsecauto–status查看日志，含有有用的VPN日志

：tail–f/var/log/fw.log查看VPN的后臺配置

：等可以查看在/etc/ipsec.d/confs/相應(yīng)的其它配置文件當(dāng)前第21頁\共有28頁\編于星期日\12點查看建立的ipsec隧道及路由

：ipseceroute查看VPN狀態(tài)信息，用于VPN排錯：ipsecauto–status當(dāng)前第22頁\共有28頁\編于星期日\12點查看日志，含有有用的VPN日志

：tail–f/var/log/fw.log

上面的圖中有防火墻DHCP和VPN的日志，如果你的防火期記錄日志打鉤多的話，可以查看到更多的日志。當(dāng)前第23頁\共有28頁\編于星期日\12點查看VPN的后臺配置：等可以查看在/etc/ipsec.d/confs/相應(yīng)的其它配置文件當(dāng)前第24頁\共有28頁\編于星期日\12點tcpdump抓包命令，在這里我們將詳細(xì)介紹抓包命令，以為在網(wǎng)絡(luò)中遇到任何奇怪的且不能正常解釋的內(nèi)容，都可以用抓包分析來論證。當(dāng)前第25頁\共有28頁\編于星期日\12點TCPDUMP的選項介紹

-A將網(wǎng)絡(luò)地址和廣播地址轉(zhuǎn)變成名字；

-D將匹配信息包的代碼以人們能夠理解的匯編格式給出；

-DD將匹配信息包的代碼以C語言程序段的格式給出；

-DDD將匹配信息包的代碼以十進(jìn)制的形式給出；

-E在輸出行打印出數(shù)據(jù)鏈路層的頭部信息；

-F將外部的INTERNET地址以數(shù)字的形式打印出來；

-L使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式；

-N不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字；

-T在輸出的每一行不打印時間戳；

-V輸出一個稍微詳細(xì)的信息，例如在IP包中可以包括TTL和服務(wù)類型的信息；

-VV輸出詳細(xì)的報文信息；

-C在收到指定的包的數(shù)目后，TCPDUMP就會停止；

-F從指定的文件中讀取表達(dá)式,忽略其它的表達(dá)式；

-I指定監(jiān)聽的網(wǎng)絡(luò)接口；

-R從指定的文件中讀取包(這些包一般通過-W選項產(chǎn)生)；

-W直接將包寫入文件中，并不分析和打印出來；

-T將監(jiān)聽到的包直接解釋為指定的類型的報文，常見的類型有RPC（遠(yuǎn)程過程調(diào)用）和SNMP（簡單網(wǎng)絡(luò)管理協(xié)議；）

當(dāng)前第26頁\共有28頁\編于星期日\12點tcpdump-ieth0-c1000–s0–weth0.cap

-